Início » Antivírus e Segurança » O Meitu mostra como um app pode ser fofinho e perigoso

O Meitu mostra como um app pode ser fofinho e perigoso

Viral, o aplicativo deixa as selfies cheias de brilho e cores, mas captura um monte de dados em troca

Emerson Alecrim Por

Como todo app que vira modinha, o Meitu deve cair no esquecimento dentro de algumas semanas. Mas, quando isso acontecer, os usuários já terão “vendido a alma” aos responsáveis pelo aplicativo: uma investigação aponta que o Meitu coleta discretamente diversos dados críticos do smartphone.

Para quem não sabe do que eu estou falando, o Meitu é um app chinês com filtros e ferramentas que deixam as pessoas nas fotos com visual “fofinho”, cheio de brilho, maquiagem e olhos grandes. É uma brincadeira para selfies que atende, basicamente, a um público mais jovem. Deve servir também para quem quer sacanear os amigos, é claro.

Apesar de existir há algum tempo, o Meitu se tornou, nos últimos dias, um dos apps mais baixados do Google Play e da App Store. Você já deve ter notado isso: as redes sociais estão cheias de imagens modificadas por esse app.

São coisas assim que o Meitu faz

São coisas assim que o Meitu faz

Tamanha popularidade fez o Meitu cair no conhecimento de especialistas em segurança que, por alguma razão, decidiram analisá-lo minuciosamente. Foi aí que eles descobriram que o aplicativo está bem longe de ser inofensivo.

Segundo as análises, o Meitu coleta diversos dados do aparelho. Isso acontece com a maioria dos aplicativos, mas aqui a coisa atinge proporções muito grandes, começando pelo monte de permissões que o app pede no momento de sua instalação — não está claro o porquê de tantas permissões serem solicitadas.

A versão para Android se mostrou a mais intrusiva, mas a versão para iOS pode obter mais informações em aparelhos com jailbreak. De modo geral, o Meitu consegue coletar e enviar para servidores na China dados como IMEI do celular, modelo do aparelho, resolução de tela, versão do sistema operacional, IP, endereço MAC, lista de contato, mensagens SMS, entre outros.

São coletados dados suficientes para que um usuário seja identificado e localizado. E olha que a empresa responsável (também de nome Meitu) comemora em seu site o fato de ter 456 milhões de usuários no mundo todo (considerando todos os seus apps), embora a maioria deva estar na China — os aplicativos da Meitu já eram populares por lá.

O que a empresa faz com dados de tantas pessoas? Uma possibilidade forte é a venda de informações para companhias que elaboram estratégias de publicidade altamente segmentada e, portanto, potencialmente intrusiva.

À CNET, a Meitu se defendeu dizendo que, como a empresa está baseada na China, precisa incluir recursos de coleta de dados nos aplicativos para contornar os bloqueios que os serviços de rastreamento do Google Play e da App Store sofrem no país. A companhia também assegurou que os dados são enviados aos seus servidores de forma criptografada e com proteção contra ataques. Ata.

Não há planos para o lançamento de uma versão do app sem os recursos de captura de dados, pois, segundo a Meitu, ela teria que atuar fora da China para poder oferecer isso. Sair da China também não está nos planos.

O fim da privacidade

Essa história da Meitu ilustra bem como é importante ficarmos atentos aos serviços que utilizamos. A privacidade não pode ser tratada como algo banal. É por isso que discutimos o assunto no Tecnocast 057.

No episódio, conversamos sobre o que empresas e governos estão fazendo com os nossos dados. Se você pensa que não tem nada a esconder, vai mudar de ideia depois de ouvir a conversa. Dá o play e vem com a gente!

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Priscila Stuani
Exato!
Priscila Stuani
Exato!
Souza
Perfeito.
A primeira coisa que ensinei ao pessoal de casa foi olhar o que as permissões exigem.
E no Android 6 até onde sei é possível bloquear certas permissões exigidas.
Sobre o usuário "não saber" o que é pedido, aí já é demais né?
Tem gente que quer justificar um erro do desenvolvedor por causa de usuários "inocentes".
Já está mais do que na hora usuário em geral aprender a usar um celular moderno.
O iPhone já fez 10 anos e ainda tem "usuário inocente".
Ticano
Esse app, além de ser uma frescura absurda sem sentido, é um ladrão, desulivre, geração perdida que fica colocando frufru em foto :(
Ticano
Esse app, além de ser uma frescura absurda sem sentido, é um ladrão, desulivre, geração perdida que fica colocando frufru em foto :(
Mickael Fernandes
Hm, obrigado pela informação.
Mickael Fernandes
Hm, obrigado pela informação.
Gesonel o Mestre dos Disfarces
E não, não é assim tão detalhado. Mas imagino que seja mais um problema do sistema que do app.
Gesonel o Mestre dos Disfarces
E não, não é assim tão detalhado. Mas imagino que seja mais um problema do sistema que do app.
Wellington Guimarães
"o Meitu é uma app chinês"... que confusão!!!
Abraão Caldas
Não, para usar a digital você precisa apenas da permissãoUSE_FINGERPRINT
Abraão Caldas
Não, para usar a digital você precisa apenas da permissão

USE_FINGERPRINT
Baidu feat MC Brinquedo
Hum... Valeu!
Baidu feat MC Brinquedo
Hum... Valeu!
Rafael Gil
Então, no iOS ele não avisa nada na hora que você instala. Porém, quando você vai usar o app e ele precisa acessar a câmera por ex. Antes de abrir a câmera ele vai exibir um popup solicitando a permissão (você pode tb negar e autorizar a hora que quiser nas configurações).Acho mais interessante pq vc sabe pq o app ta pedindo aquilo.Tipo, o facebook só pede acesso a câmera ou suas fotos quando vc vai enviar uma foto. E se vc não permitir, continua usando o app de boa.
Rafael Gil
Então, no iOS ele não avisa nada na hora que você instala. Porém, quando você vai usar o app e ele precisa acessar a câmera por ex. Antes de abrir a câmera ele vai exibir um popup solicitando a permissão (você pode tb negar e autorizar a hora que quiser nas configurações).
Acho mais interessante pq vc sabe pq o app ta pedindo aquilo.
Tipo, o facebook só pede acesso a câmera ou suas fotos quando vc vai enviar uma foto. E se vc não permitir, continua usando o app de boa.
Baidu feat MC Brinquedo
O problema é no Android mesmo amigo!No fundo, no fundo o sistema de permissões é uma FARSA. É como o amigo de cima falou: Se o app x pede a permissão y, você nem consegue usar o app até que conceda a tal permissão. Isso na prática anula o sistema de permissões, eu explico: Eu desenvolvo o joguinho x e peço TUDO o que existir de permissões. Eu (desenvolvedor) posso configurar para que o jogo não abra até que tudo o que eu pedi seja concedido, logo o usuário vai acabar cedendo pra poder jogar. Nunca tive um iOS, mas ao meu ver parece que o usuário consegue ver isso antes de instalar e pode negar sem que isso afete o uso do app.Me corrija se eu estiver errado.
Baidu feat MC Brinquedo
O problema é no Android mesmo amigo!


No fundo, no fundo o sistema de permissões é uma FARSA. É como o amigo de cima falou: Se o app x pede a permissão y, você nem consegue usar o app até que conceda a tal permissão. Isso na prática anula o sistema de permissões, eu explico: Eu desenvolvo o joguinho x e peço TUDO o que existir de permissões. Eu (desenvolvedor) posso configurar para que o jogo não abra até que tudo o que eu pedi seja concedido, logo o usuário vai acabar cedendo pra poder jogar. Nunca tive um iOS, mas ao meu ver parece que o usuário consegue ver isso antes de instalar e pode negar sem que isso afete o uso do app.


Me corrija se eu estiver errado.
Rafael Gil
Estranho...Não sei no Android, mas no iPhone sempre funcionou comigo. Raramente eu permito acesso ao telefone ou aos contatos e sempre tudo funcionou de boa.Meu app do banco por ex não tem acesso nenhum a ligações (nem pede isso na vdd) e nem a minha localização. O único problema é que não consigo ver agências próximas (por motivos óbvios, rsrs).Talvez isso aconteça no android por ser novidade e os devs ainda não adaptaram os apps direito. Mas acho que o futuro é por aí mesmo, e é bem melhor desse jeito pq vc efetivamente vê o que o app quer fazer NA HORA que ele quer fazer.Tipo, se ele abre e já pede pra vc compartilhar os contatos, vc já liga o alerta de que é fria e nega na hora.
Rafael Gil
Estranho...
Não sei no Android, mas no iPhone sempre funcionou comigo. Raramente eu permito acesso ao telefone ou aos contatos e sempre tudo funcionou de boa.
Meu app do banco por ex não tem acesso nenhum a ligações (nem pede isso na vdd) e nem a minha localização. O único problema é que não consigo ver agências próximas (por motivos óbvios, rsrs).

Talvez isso aconteça no android por ser novidade e os devs ainda não adaptaram os apps direito. Mas acho que o futuro é por aí mesmo, e é bem melhor desse jeito pq vc efetivamente vê o que o app quer fazer NA HORA que ele quer fazer.
Tipo, se ele abre e já pede pra vc compartilhar os contatos, vc já liga o alerta de que é fria e nega na hora.
Ricardo - Vaz Lobo
Alguém leeeeeembra (quem tem mais de 40 deve ter visto isso...) daquele caderninho que a gente ia colocando nossas preferências e opiniões sobre o dono (normalmente a DONA!) do dito e o mundo? Foi por aí que a gente começou a entregar nossa privacidade pra terceiros. A tecnologia só turbinou o bagulho e nos começamos a permitir invasões ainda mais profundas.Tu sabes,conheces melhor do que eua velha história.Na primeira noite eles se aproximame roubam uma flordo nosso jardim.E não dizemos nada.Na segunda noite, já não se escondem:pisam as flores,matam nosso cão,e não dizemos nada.Até que um dia,o mais frágil delesentra sozinho em nossa casa,rouba-nos a luz, e,conhecendo nosso medo,arranca-nos a voz da garganta.E já não podemos dizer nada. (Eduardo A. Costa)
Ricardo - Vaz Lobo
Alguém leeeeeembra (quem tem mais de 40 deve ter visto isso...) daquele caderninho que a gente ia colocando nossas preferências e opiniões sobre o dono (normalmente a DONA!) do dito e o mundo? Foi por aí que a gente começou a entregar nossa privacidade pra terceiros. A tecnologia só turbinou o bagulho e nos começamos a permitir invasões ainda mais profundas.

Tu sabes,

conheces melhor do que eu

a velha história.

Na primeira noite eles se aproximam

e roubam uma flor

do nosso jardim.

E não dizemos nada.

Na segunda noite, já não se escondem:

pisam as flores,

matam nosso cão,

e não dizemos nada.

Até que um dia,

o mais frágil deles

entra sozinho em nossa casa,

rouba-nos a luz, e,

conhecendo nosso medo,

arranca-nos a voz da garganta.

E já não podemos dizer nada. (Eduardo A. Costa)
Vinicius Mascarenhas
Duas palavras: Black Mirror.
Vinícius Mascarenhas
Duas palavras: Black Mirror.
Mickael Fernandes
Não sei se encaixa nesses sensores, mas talvez querem a digital?
Mickael Fernandes
Não sei se encaixa nesses sensores, mas talvez querem a digital?
mithsiel
Boa parte do que você especificou aparece na lista de permissões. Já dados mais avançados só podem ser coletados em aparelhos que sofreram Root ou Jailbreack. Dois processos que não são recomendados por nenhuma desenvolvedora, justamente por aumentar a vulnerabilidade do sistema.Novamente, entra na questão de preço. Pois aceitar o risco dessas vulnerabilidades é o valor que quem faz root ou jailbreak tem que pagar.Lembre-se do primeiro passo de qualquer tutorial para root ou jailbreak que você vai encontrar por aí: "Siga os passos seguintes por sua conta e risco."
Mithsiel
Boa parte do que você especificou aparece na lista de permissões. Já dados mais avançados só podem ser coletados em aparelhos que sofreram Root ou Jailbreack. Dois processos que não são recomendados por nenhuma desenvolvedora, justamente por aumentar a vulnerabilidade do sistema.

Novamente, entra na questão de preço. Pois aceitar o risco dessas vulnerabilidades é o valor que quem faz root ou jailbreak tem que pagar.

Lembre-se do primeiro passo de qualquer tutorial para root ou jailbreak que você vai encontrar por aí: "Siga os passos seguintes por sua conta e risco."
Abraão Caldas
A parada é tão sinistra que ele pede até permissão do BODY_SENSORS, para que eles querem saber sua frequência cardíaca.
Abraão Caldas
A parada é tão sinistra que ele pede até permissão do BODY_SENSORS, para que eles querem saber sua frequência cardíaca.
Highlander
Essa janela avisa que o app quer permissão de acesso ao IMEI do celular, ao modelo do aparelho, à resolução de tela, à versão do
Highlander
Essa janela avisa que o app quer permissão de acesso ao IMEI do celular, ao modelo do aparelho, à resolução de tela, à versão do sistema operacional, ao IP, ao endereço MAC, à lista de contato e às mensagens SMS? Se for assim, é exatamente como você disse. O preço é esse e paga quem quer. Mas será que aparece tudo isso? Seria legal vermos como exatamente aparece esses pedidos de permissão...
mithsiel
Antes de instalar o App o sistema mostra uma janela com todas as permissões que o aplicativo exige. Se a pessoa clica em aceitar então ela está concordando com aquilo. Se a pessoa não lê as permissões exigidas, a culpa é apenas dela e não do desenvolvedor.
Mithsiel
Antes de instalar o App o sistema mostra uma janela com todas as permissões que o aplicativo exige. Se a pessoa clica em aceitar então ela está concordando com aquilo. Se a pessoa não lê as permissões exigidas, a culpa é apenas dela e não do desenvolvedor.
el_asesino
Se realmente for isso então podemos dar logo adeus à privacidade. Empresas e corporações acessando tudo o que gostamos e aprovamos e tornando isso uma fonte de lucro pra elas. Sei que o Google, Facebook entre outros já fazem isso mas eu não tô gostando desse rumo não
el_asesino
Se realmente for isso então podemos dar logo adeus à privacidade. Empresas e corporações acessando tudo o que gostamos e aprovamos e tornando isso uma fonte de lucro pra elas. Sei que o Google, Facebook entre outros já fazem isso mas eu não tô gostando desse rumo não
FernandoGoias81 .
O futuro será exatamente isso: propaganda dirigida! Ao invés de ficar aguardando que clientes venham até meu estabelecimento, eu irei até eles, já que sei quais produtos pensam adquirir! Mal comparando, seria como se a feira viesse até a sua casa ao invés dos feirantes terem de aguardar possíveis compradores em um local fixo.Lembra da vendedora que vira e mexe aparecia em sua casa com todo um 'portfólio' de produtos cosméticos para sua mãe? Propaganda dirigida, pois sabia que ela tinha esse hábito de consumo.Lembram do cult Blade Runner e sua antevisão do futuro? Outdoors espalhados por toda a cidade exibindo marcas, produtos, serviços e etc.? Agora, imagine que tais marcas soubessem exatamente onde você está e por onde anda. Como conhece seus hábitos de consumo e preferências, um sistema mostraria em seu caminho produtos e serviços que 'combinam com você'!Como já disse lá no Tec, futuramente tudo que usarmos e que esteja conectado trará propagandas e anúncios!
Highlander
O problema é: quem está instalando o aplicativo está ciente do quanto está pagando?
Highlander
O problema é: quem está instalando o aplicativo está ciente do quanto está pagando?
FernandoGoias81 .
O futuro será exatamente isso: propaganda dirigida! Ao invés de ficar aguardando que clientes venham até meu estabelecimento, eu irei até eles, já que sei quais produtos pensam adquirir! Mal comparando, seria como se a feira viesse até a sua casa ao invés dos feirantes terem de aguardar possíveis compradores em um local fixo.

Lembra da vendedora que vira e mexe aparecia em sua casa com todo um 'portfólio' de produtos cosméticos para sua mãe? Propaganda dirigida, pois sabia que ela tinha esse hábito de consumo.

Lembram do cult Blade Runner e sua antevisão do futuro? Outdoors espalhados por toda a cidade exibindo marcas, produtos, serviços e etc.? Agora, imagine que tais marcas soubessem exatamente onde você está e por onde anda. Como conhece seus hábitos de consumo e preferências, um sistema mostraria em seu caminho produtos e serviços que 'combinam com você'!

Como já disse lá no Tec, futuramente tudo que usarmos e que esteja conectado trará propagandas e anúncios!
Victor Sales
Mas na prática, do que adianta? Sempre percebo que se nego X ou Y na hora de instalar, o APP não funciona. Com o do meu banco é assim, se negar a permissão de fazer ligações telefônicas, não sai da tela inicial. Sei que essa problemática é culpa dos desenvolvedores, mas não vejo como permitir/não permitir está ajudando muito na prática...
Victor Sales
Mas na prática, do que adianta? Sempre percebo que se nego X ou Y na hora de instalar, o APP não funciona. Com o do meu banco é assim, se negar a permissão de fazer ligações telefônicas, não sai da tela inicial. Sei que essa problemática é culpa dos desenvolvedores, mas não vejo como permitir/não permitir está ajudando muito na prática...
mithsiel
Mas isso não tem nada haver com o assunto em questão. Ninguém aqui está falando se vale ou não a pena pagar o que é pedido. Ceder os dados do seu telefone é aquilo que o desenvolvedor pede como pagamento pelo app de filtros. Baixa quem quer, ninguém é obrigado.Você pode querer cobrar 50 mil em um fusca batido, as pessoas podem simplesmente avaliar o fusca, ver que o estado dele não está bom e então, concluir que não vale a pena comprar. Ou, podem simplesmente comprar. Você não estará obrigando ninguém a comprar o fusca batido. Compra quem quer. Se é justo ou não, isso não tem importância.
Mithsiel
Mas isso não tem nada haver com o assunto em questão. Ninguém aqui está falando se vale ou não a pena pagar o que é pedido. Ceder os dados do seu telefone é aquilo que o desenvolvedor pede como pagamento pelo app de filtros. Baixa quem quer, ninguém é obrigado.

Você pode querer cobrar 50 mil em um fusca batido, as pessoas podem simplesmente avaliar o fusca, ver que o estado dele não está bom e então, concluir que não vale a pena comprar. Ou, podem simplesmente comprar. Você não estará obrigando ninguém a comprar o fusca batido. Compra quem quer. Se é justo ou não, isso não tem importância.
brunocabral
Quem coloca valor é o USUÁRIO EM potencial. O vendedor coloca PREÇO!Exemplo: Quanto vc acha que vale o Playstation 4? 500 R$, 1 mil, 2 mil? (valor definido pelo usuário). E por quanto o vendedor está disposto a vender? 1 mil, 2 mil 3 mil? (Preço definido pelo vendedor). Se vc já se deparou com FRACASSOS de venda, deve ter uma ideia entre PREÇO e VALOR.
brunocabral
Quem coloca valor é o USUÁRIO EM potencial. O vendedor coloca PREÇO!
Exemplo: Quanto vc acha que vale o Playstation 4? 500 R$, 1 mil, 2 mil? (valor definido pelo usuário). E por quanto o vendedor está disposto a vender? 1 mil, 2 mil 3 mil? (Preço definido pelo vendedor). Se vc já se deparou com FRACASSOS de venda, deve ter uma ideia entre PREÇO e VALOR.
mithsiel
Isso não muda nada. O desenvolvedor coloca o valor que ele deseja. Se o usuário acredita que o valor cobrado não é justo, então ele não baixa o app. Ninguém está sendo obrigado a baixar um app para colocar um filtro em fotos. Baixa quem quer, pagando aquilo que o desenvolvedor desejar.
Mithsiel
Isso não muda nada. O desenvolvedor coloca o valor que ele deseja. Se o usuário acredita que o valor cobrado não é justo, então ele não baixa o app. Ninguém está sendo obrigado a baixar um app para colocar um filtro em fotos. Baixa quem quer, pagando aquilo que o desenvolvedor desejar.
Marcus Araújo
O perfil do usuário que baixa esse app é o mesmo de quem já clicou para baixar as fotos da festa que ficaram ótimas, lá no Orkut.Exigir conhecimento a respeito das permissões desse tipo de usuário é pedir pra chover no deserto. As lojas contribuem pra esse tipo "polêmico" de mineração de dados quando aprovam um app de edição de fotos que acessa quase todos os dados do telefone. E os próprios sistemas falham em não dizer claramente o que é possível e o que não é possível um app fazer com cada permissão.Daí culpar o usuário leigo, com pouca instrução em relação à internet e informática, e que vai continuar caindo nessas e outras feito patos por não terem instrução necessária é mais fácil. Difícil é exigir ética dos desenvolvedores para explicitar tudo o que o app faz (desde a edição à mineração dos dados).O app está aí fazendo sucesso a um tempo e precisou que especialistas em segurança apontassem os problemas do app, e os entendidões que jogam a culpa unicamente no usuário dizem que sabiam desse excesso de permissões, mas aparentemente não alertaram a ninguém (ué).
brunocabral
Não confunda valor com preço. Valor é o custo-benefício, preço é o quanto o vendedor do produto quer.
brunocabral
Não confunda valor com preço. Valor é o custo-benefício, preço é o quanto o vendedor do produto quer.
Keaton
Fico imaginando o que ele fazem com os dados...
Keaton
Fico imaginando o que ele fazem com os dados...
Marcus Pessoa
Por isso eu achei muito importante a mudança no sistema de permissões no Android 6.0, para ficar semelhante ao iOS: a permissão é dada no momento em que é solicitada, e não na instalação.Isso não vai ajudar os totalmente leigos, claro, que vão acabar dando permissões a torto e a direito, mas permite dosar melhor o que permitimos aos aplicativos.
Marcus Pessoa
Por isso eu achei muito importante a mudança no sistema de permissões no Android 6.0, para ficar semelhante ao iOS: a permissão é dada no momento em que é solicitada, e não na instalação.

Isso não vai ajudar os totalmente leigos, claro, que vão acabar dando permissões a torto e a direito, mas permite dosar melhor o que permitimos aos aplicativos.
Theo Queiroz
Exatamente. Se o usuário clicou em aceitar, resolveu "pagar" o preço do aplicativo. Não adianta reclamar depois.
Theo Queiroz
Exatamente. Se o usuário clicou em aceitar, resolveu "pagar" o preço do aplicativo. Não adianta reclamar depois.
X-Tudãoᴳᴼᵀ
Que App medonho, te deixa com a cara de políticos.
Melocoton Loko
Que App medonho, te deixa com a cara de políticos.
mithsiel
Como eu disse em outro site: Quem escolhe o preço é o criador do produto. Se o valor que ele quer que você pague para utilizar o app dele é ceder seus dados, então este é o valor do produto. Se o usuário baixa o app, então ele está concordando com o valor cobrado.
Mithsiel
Como eu disse em outro site: Quem escolhe o preço é o criador do produto. Se o valor que ele quer que você pague para utilizar o app dele é ceder seus dados, então este é o valor do produto. Se o usuário baixa o app, então ele está concordando com o valor cobrado.